본문 바로가기

전체 글

(41)
[CFReDS Project] Hacking Case 문제를 확인해 보면 총 8개의 파일을 제공해 주면서 시나리오를 제공해 문제를 해결하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/Hacking_Case.html 먼저 시나리오를 한번 확인해 보겠습니다. 2004년 9월 20일에 일련번호가 #VLQLW인 Dell CPI 노트북이 무선 PCMCIA 카드와 집에서 만든 수제 820.11b 안테나와 함께 버려진 채로 발견. 해당 컴퓨터는 해킹 용의자인 그레그 샤르트와 관련 짓기는 쉽지 않지만 해킹 목적으로 사용되었다는 의심을 받고 있습니다. 그레그 샤르트 또한 Mr. Evil 이라는 온라인 별명을 가지고 있습니다. 그의 동류들은 그가 무선 액세스 포인트(스타벅스 혹은 그 외 T-Mobile 핫 스팟과 같은) 근처에 그의 차량을..
[CFReDS Project] DFR-01-RECYCLE(FAT) : Recover one file from emptied recycle bin 문제를 확인해 보면 dfr-01-recycle-fat.dd.bz2 파일을 제공해 주면서 비어있는 휴지통에서 파일 하나를 복구하는 문제입니다. 문제 사이트 : https://www.cfreds.nist.gov/dfr-test-images.html bz2 로 압축이 되어있는 파일을 bunzip2 명령으로 압축을 해제해 보겠습니다. dfr-01-recycle-fat.dd 파일로 1GB FAT 파일 시스템 파일입니다. hex값을 한번 확인해 보면 MBR 영역부터 있는것을 확인할수 있습니다. 이는 물리적인 디스크를 이미지 덤프 뜬것으로 확인이 됩니다. 사용하지 않는 영역은 아래와 같이 Empty Sector [Number] not used ZZZZZZZZZZ.. 라고 적혀 있습니다. MBR에 적혀있는 파티션 테이..
Alternate Data Stream(ADS) Artifact Analysis POST URL : https://ws1004-4n6.notion.site/Alternate-Data-Stream-ADS-Artifact-Analysis-42db1a82862e45d4bcc33fa5ac878a8d Alternate Data Stream(ADS) Artifact Analysis Alternate Data Stream 이란? ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
OtterCTF 2018 write up POST URL : https://ws1004-4n6.notion.site/2018-OtterCTF-85211b45af6f4a8f873ad47036af1ed0 2018 OtterCTF 2018 Otter CTF에서 메모리 포렌식 문제가 13개 정도 출제되었다. 문제를 해결하면서 메모리 포렌식을 공부하는데 감을 잡을 수 있으며, 전반적인 도움이 될 것 같다. ws1004-4n6.notion.site ★읽어 보시면서 이상한 부분이나 잘못된 개념, 오탈자가 있다면 댓글로 알려주시면 감사하겠습니다★
NTFS(New Technology File System) File System Structure Analysis 이번에 분석해볼 파일시스템은 현재 많은 사용자가 사용하고 있는 NTFS File System 입니다. FAT(File Allocation Table) File System은 개인의 운영체제 용도로 사용하기 위해서 만들어진 파일 시스템입니다. 하지만 새로운 운영체제인 Windows NT(New Technology)의 등장으로 서버용 운영체제에서 사용하기위한 다양한 기능이 필요했습니다. 그래서 FAT File System 이후에 등장한 파일 시스템이 오늘 분석해볼 NTFS File System 입니다. - NTFS Version NTFS는 Windows NT 이후에 사용하고 있으며 NTFS의 Version이 운영체제에 따라서 다릅니다. - NTFS Cluster Size 이번에는 운영체제 및 볼륨의 크기에 ..
Windows Storage Pool Disk File Structure Analysis 보호되어 있는 글입니다.
FAT32(File Allocation Table) File System Structure Analysis 이번에 알아볼 파일시스템은 FAT32 File System 입니다. FAT32 는 FAT16 보다 좀더 복잡한 파일 구조를 가지고 있습니다. FAT16 과 FAT32의 파일구조를 한번 확인해 보겠습니다. FAT16의 Reserved Area의 크기는 1섹터로 고정이지만 FAT32의 Reserved Area 는 32섹터 입니다. 또한 총 32섹터 중에서 위의 레이아웃과 같이 0,6번 섹터는 Boot Sector 1,7번 섹터는 FSINFO 2,8섹터는 Boot Strap 입니다. 그렇다면 이번에도 Reserved Area을 살펴 보겠습니다. 1. Reserved Area (예약된 영역) - 0,6번 Sector : Boot Sector 예제 FAT32 파일의 0번 섹터인 Reserved Area를 확인해 ..
GPT(GUID Partition Table) Partition Structure Analysis 이번에 분석할 파티션은 MBR의 한계로 새로 만들어진 GPT 파티션 영역 입니다. GPT 파티션은 MBR 파티션 테이블의 파티션 용량에 제약 및 좀 더 보완된 파티션 방식을 위해서 만들어 졌습니다. MBR 파티션은 최대 크기로 2TB(0xFFFFFFFF)을 가지는데 GPT 파티션은 최대 크기로 8ZB(0xFFFFFFFFFFFFFFFF)을 가질 수 있습니다. 인텔에서 BIOS의 대체 수단으로 EFI(Extensible Firmware Interface)을 표준으로 제안했습니다. 개선된 EFI 펌웨어에서 지원하는 파티션 테이블 형식이 GPT 파티션 입니다. MBR은 4개의 주 파티션을 생성할 수 있지만 GPT는 128개의 주 파티션을 생성 할 수 있습니다. 또한 GPT 파티션에서는 CRC(Cyclical R..